Crimeware-Report: Neue Banking-Malware, Stealer und Ransomware entdeckt

foto freepik

Kaspersky hat drei neue finanziell-motivierte Bedrohungen identifiziert, die Daten und Geld stehlen [1]. Es handelt sich um den Multi-Purpose-Stealer Lumar, die Ransomware Rhysida und den GoPIX-Stealer, spezialisiert auf das Instant-Payment-System der brasilianischen Zentralbank. Der aktuelle Crimeware Report untersucht drei neue Schadprogramme, die darauf abzielen, Daten und Geld zu stehlen.

 

Lumar ermöglicht Aufzeichnen von Telegram-Sessions

Bei Lumar handelt es sich um einen Multi-Purpose-Stealer, der erstmals im Juli 2023 verbreitet wurde und zunehmend zum Einsatz kommt. Der Stealer kann Telegram-Sessions aufzeichnen, Passwörter, Cookies und AutoFill-Daten sowie Daten aus verschiedenen Krypto-Wallets stehlen und Desktop-Dateien der Nutzer abrufen. Sobald er ausgeführt wird, sammelt Lumar Systeminformationen und Nutzerdatzen und sendet sie an einen C2-Server (Command-and-Control). Der vom Malware-Entwickler als Malware as a Service (MaaS) gehostete Command-and-Control-Server bietet nutzerfreundliche Funktionen wie Statistiken und Datenprotokolle. Mit der neuesten zum Download angebotenen Version, können Nutzer Telegram-Benachrichtigungen über eingehende Daten erhalten.

 

Rhysidas Talent zur Spurenverwischung

Weiterhin fanden die Experten eine neue Ransomware: Rhysida wurde von Kasperskys Telemetrie entdeckt und fungiert als RaaS (Ransomware-as-a-Service). Sie ist in der Lage, sich selbst zu löschen, und ist mit älteren Windows-Versionen als Windows 10 kompatibel. Rhysida wurde in C++ geschrieben und mit MinGW sowie Shared Libraries kompiliert, das Design ist äußerst ausgeklügelt. Die anfangs von Rhysida bewältigten Startschwierigkeiten bei der Konfiguration seines Onion-Servers demonstrieren die schnelle Anpassungsfähigkeit der Ransomware-Gruppe.

 

GoPix zielt auf Brasiliens Bezahlsystem PIX ab

Außerdem entdeckten die Experten mit GoPIX eine seit Dezember 2022 laufende schädliche Kampagne, die Brasiliens weitverbreitetes Bezahlsystem PIX im Visier hat. Suchen Nutzer nach »WhatsApp web«, werden sie über irreführende Anzeigen umgeleitet. GoPIX nutzt das Anti-Fraud-Tool von IP Quality Score, um echte Nutzer von Bots zu unterscheiden, so dass zwei Download-Optionen angeboten werden, die auf dem Status von Port 27275 basieren, der mit der Avast Safe Banking Software verknüpft ist. Die Malware, die darauf ausgelegt ist, Transaktionsdaten zu stehlen und zu manipulieren, kann unterschiedliche Vorgänge ausführen und reagiert auf Befehle von einem Command-and-Control-Server.

»Angesichts der steigenden Zahl von Cyberbedrohungen, die finanziell motiviert sind, bleibt unser Engagement für den Schutz digitaler Ökosysteme ungebrochen«, sagt Jornt van der Wiel, Senior Security Researcher im Global Research & Analysis Team (GReAT) bei Kaspersky. »Wir verfolgen die Entwicklung der Bedrohungslandschaft genau und entwickeln Sicherheitslösungen, um Angriffe proaktiv zu bekämpfen. Um die nötige Sicherheit zu gewährleisten, raten wir nachdrücklich zu einer robusten Cybersicherheitsstrategie, die derartige Bedrohungen wirksam abwehrt.«

 

Empfehlungen zum Schutz vor Bedrohungen

  • Offline-Backups einrichten, die nicht manipuliert werden können, und sicherstellen, dass bei Bedarf oder im Notfall schnell auf diese Daten zugegriffen werden kann.
  • Ransomware-Schutz auf allen Endpunkten installieren. Das kostenfrei erhältliche Anti-Ransomware Tool for Business [2] schützt Computer und Server vor Ransomware und anderen Arten von Malware, verhindert Exploits und ist mit bereits installierten Sicherheitslösungen kompatibel.
  • Eine Schutzlösung für Endgeräte und Mailserver mit Anti-Phishing-Funktionen, wie Endpoint Security for Business [3], implementieren, um das Risiko einer Infektion durch Phishing-E-Mails zu verringern.
  • Cybersicherheits-Audits der Netzwerke durchführen, um Schwachstellen am Netzwerkperimeter oder innerhalb des Netzwerks zu entdecken und zu beheben.
  • Bei einem Ransomware-Angriff kein Lösegeld zahlen, sondern die zuständigen Ermittlungsbehörden informieren. Die No-More-Ransom-Initiative [4] bietet kostenfreie Entschlüsselungstools an.

 

[1] https://securelist.com/crimeware-report-gopix-lumar-rhysida/110871/
[2] https://www.kaspersky.com/anti-ransomware-tool
[3] https://www.kaspersky.de/enterprise-security/endpoint
[4] https://www.nomoreransom.org/de/index.html